Installer un contrôleur de domaine en lecture seule Active Directory Windows Server 2012 (niveau 200)

Cet article explique comment créer un compte de contrôleur de domaine en lecture seule intermédiaire, puis associer un serveur à ce compte pendant l’installation d’un contrôleur de domaine en lecture seule. Cet article explique également comment installer un contrôleur de domaine en lecture seule sans effectuer d’installation intermédiaire.

Workflow de création d'un contrôleur de domaine en lecture seule intermédiaire

L'installation d'un contrôleur de domaine en lecture seule intermédiaire se déroule en deux phases discrètes :

  1. Création intermédiaire d'un compte d'ordinateur inoccupé

  2. Association d'un contrôleur de domaine en lecture seule à ce compte pendant la promotion

Le diagramme suivant illustre le processus de création intermédiaire d'un contrôleur de domaine en lecture seule des services de domaine Active Directory, où vous créez un compte d'ordinateur de contrôleur de domaine en lecture seule vide dans le domaine à l'aide du Centre d'administration Active Directory (Dsac.exe).

Diagramme montrant le processus de site du contrôleur de domaine en lecture seule Active Directory Domain Services décrit ci-dessus.

Créer un contrôleur de domaine en lecture seule intermédiaire dans Windows PowerShell

Applet de commande ADDSDeployment Arguments (ceux en gras sont requis et ceux en italique peuvent être spécifiés à l’aide de Windows PowerShell ou de l’Assistant Configuration des services de domaine Active Directory.)
Add-addsreadonlydomaincontrolleraccount -SkipPreChecks

-DomainControllerAccountName

-DomainName

-SiteName

-AllowPasswordReplicationAccountName

-Credential

-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName

-NoGlobalCatalog

-InstallDNS

-ReplicationSourceDC

Notes

L'argument -credential est uniquement requis si vous n'êtes pas déjà connecté en tant que membre du groupe Admins du domaine.

Workflow d'association d'un contrôleur de domaine en lecture seule

Le diagramme ci-dessous illustre le processus de configuration des services de domaine Active Directory, où vous avez déjà installé le rôle AD DS, créé le compte du contrôleur de domaine en lecture seule intermédiaire et démarré Promouvoir ce serveur en contrôleur de domaine à l'aide du Gestionnaire de serveur pour créer un contrôleur de domaine en lecture seule dans un domaine existant, en l'associant au compte d'ordinateur intermédiaire.

Diagramme montrant le processus de configuration Active Directory Domain Services décrit ci-dessus.

Associer un contrôleur de domaine en lecture seule dans Windows PowerShell

Applet de commande ADDSDeployment Arguments (ceux en gras sont requis et ceux en italique peuvent être spécifiés à l’aide de Windows PowerShell ou de l’Assistant Configuration des services de domaine Active Directory.)
Install-AddsDomaincontroller -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-InstallationMediaPath

-LogPath

-Norebootoncompletion

-ReplicationSourceDC

-SystemKey

-SYSVOLPath

-UseExistingAccount

Notes

L'argument -credential est uniquement requis si vous n'êtes pas déjà connecté en tant que membre du groupe Admins du domaine.

Préproduction

Capture d’écran du Centre d’administration Active Directory montrant l’option Précréer un compte de contrôleur de domaine en lecture seule mise en évidence dans le volet des tâches.

Vous procédez à la création intermédiaire d'un compte d'ordinateur de contrôleur de domaine en lecture seule en ouvrant le Centre d'administration Active Directory (Dsac.exe). Sélectionnez le nom du domaine dans le volet de navigation. Double-cliquez sur Contrôleurs de domaine dans la liste de gestion. Sélectionnez Pré-créer un compte de contrôleur de domaine en lecture seule dans le volet des tâches.

Pour plus d’informations sur le Centre d’administration Active Directory, voir Gestion avancée des services AD DS à l’aide du Centre d’administration Active Directory (niveau 200), puis Centre d’administration Active Directory : Prise en main.

Si vous avez déjà créé des contrôleurs de domaine en lecture seule, vous allez découvrir que l’Assistant Installation a la même interface graphique que celle affichée avec l’ancien composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de Windows Server 2008 et utilise le même code, qui comprend l’exportation de la configuration au format de fichier d’installation sans assistance employé par le processus dcpromo obsolète.

Windows Server 2012 introduit une nouvelle applet de commande ADDSDeployment pour créer des comptes d’ordinateurs de contrôleur de domaine en lecture seule intermédiaires, mais l’Assistant ne l’utilise pas pour son opération. Les sections suivantes affichent l'applet de commande et les arguments équivalents pour faciliter la compréhension des informations associées.

Le lien Pré-créer un compte de contrôleur de domaine en lecture seule dans le volet des tâches du Centre d’administration Active Directory est l’équivalent de la cmdlet Windows PowerShell ADDSDeployment :

Add-addsreadonlydomaincontrolleraccount

Bienvenue

Capture d’écran de la page d’accueil de l’Assistant Installation Active Directory Domain Services montrant l’option Utiliser l’installation en mode avancé sélectionnée.

La boîte de dialogue Assistant Installation des services de domaine Active Directory contient une option nommée Utiliser l'installation en mode avancé. Cochez cette case et sélectionnez Suivant pour afficher des options de stratégie de réplication de mot de passe. Décochez cette case pour utiliser les valeurs par défaut pour les options de stratégie de réplication de mot de passe (cela est décrit plus en détail plus loin dans cette section).

Informations d'identification réseau

Capture d’écran de la page Informations d’identification réseau de l’Assistant Installation Active Directory Domain Services.

L'option de nom de domaine dans la boîte de dialogue Informations d'identification réseau affiche le domaine ciblé par le Centre d'administration Active Directory par défaut. Vos informations d'identification actuelles sont utilisées par défaut. Si elles ne comprennent pas l’appartenance au groupe Admins du domaine, sélectionnez Autres informations d’identification, puis Définir pour fournir à l’Assistant un nom d’utilisateur et un mot de passe d’un membre du groupe Admins du domaine.

L'argument Windows PowerShell ADDSDeployment équivalent est le suivant :

-credential <pscredential>

Gardez à l’esprit que le système intermédiaire est un port direct de Windows Server 2008 R2 et ne fournit pas la nouvelle fonctionnalité Adprep. Si vous envisagez de déployer des comptes de contrôleur de domaine en lecture seule intermédiaires, vous devez d’abord déployer un contrôleur de domaine en lecture seule non intermédiaire dans ce domaine pour que l’opération rodcprep automatique s’exécute, ou commencer par exécuter manuellement adprep.exe /rodcprep.

Sinon, vous recevez une erreur. Vous ne pourrez pas installer un contrôleur de domaine en lecture seule dans ce domaine, car adprep /rodcprep n’a pas encore été exécuté.

Capture d’écran du message d’avertissement de l’Assistant Installation Active Directory Domain Services indiquant que adprep /rodcprep n’a pas encore été exécuté.

Spécifiez le nom de l'ordinateur

Capture d’écran de la page Spécifiez le nom de l’ordinateur de l’Assistant Installation Active Directory Domain Services.

La boîte de dialogue Spécifiez le nom de l’ordinateur vous demande d’entrer le Nom de l’ordinateur en une partie d’un contrôleur de domaine qui n’existe pas. Le contrôleur de domaine que vous configurez et associez à ce compte par la suite doit avoir le même nom. À défaut, l’opération de promotion ne détecte pas le compte intermédiaire.

L'argument Windows PowerShell ADDSDeployment équivalent est le suivant :

-domaincontrolleraccountname <string>

Sélectionner un site

Capture d’écran de la page Sélectionner un site de l’Assistant Installation Active Directory Domain Services.

La boîte de dialogue Sélectionner un site affiche une liste de sites Active Directory pour la forêt actuelle. L'opération du contrôleur de domaine en lecture seule intermédiaire vous demande de sélectionner un seul site dans la liste. Le contrôleur de domaine en lecture seule utilise ces informations pour créer son objet Paramètres NTDS dans la partition de configuration et se joint au site approprié quand il démarre pour la première fois après son déploiement.

L'argument Windows PowerShell ADDSDeployment équivalent est le suivant :

-sitename <string>

Options supplémentaires pour le contrôleur de domaine

Capture d’écran de la page Spécifier les options du contrôleur de domaine de l’Assistant Installation Active Directory Domain Services.

La boîte de dialogue Options supplémentaires du contrôleur de domaine vous permet d'indiquer qu'un contrôleur de domaine inclut une exécution en tant que Serveur DNS et Catalogue global. Comme Microsoft recommande que les contrôleurs de domaine en lecture seule fournissent des services DNS et de catalogue global, les deux sont installés par défaut ; le rôle de contrôleur de domaine en lecture seule est également destiné aux filiales dans lesquelles le réseau étendu peut ne pas être disponible et, sans ces services DNS et de catalogue global, les ordinateurs de la filiale ne pourraient pas utiliser les fonctions et ressources AD DS.

L'option Contrôleur de domaine en lecture seule (RODC) est présélectionnée et ne peut pas être désactivée. Les arguments Windows PowerShell ADDSDeployment équivalents sont les suivants :

-installdns <string>
-NoGlobalCatalog <{$true | $false}>

Notes

Par défaut, la valeur de –NoGlobalCatalog est $false, ce qui signifie que le contrôleur de domaine sera un serveur de catalogue global si l’argument n’est pas spécifié.

Spécifier la stratégie de réplication de mot de passe

Capture d’écran de la page Spécifier la stratégie de réplication de mot de passe de l’Assistant Installation Active Directory Domain Services.

La boîte de dialogue Spécifier la stratégie de réplication de mot de passe vous permet de modifier la liste par défaut de comptes qui sont autorisés à mettre en cache leurs mots de passe sur ce contrôleur de domaine en lecture seule. Les comptes de la liste configurés avec Refuser ou qui ne figurent pas dans la liste (implicites) ne mettent pas en cache leur mot de passe. Les comptes qui ne sont pas autorisés à mettre en cache leurs mots de passe sur le contrôleur de domaine en lecture seule et qui ne peuvent pas se connecter à un contrôleur de domaine accessible en écriture ni s’authentifier auprès de celui-ci ne sont pas en mesure d’accéder aux fonctions ou aux ressources fournies par Active Directory.

Important

L'Assistant affiche cette boîte de dialogue uniquement si vous cochez la case Utiliser l'installation en mode avancé sur l'écran d'accueil. Si vous décochez cette case, l'Assistant utilise les valeurs et les groupes par défaut suivants :

  • Administrateurs - Refuser
  • Opérateurs de serveur - Refuser
  • Opérateurs de sauvegarde - Refuser
  • Opérateurs de compte - Refuser
  • Groupe de réplication dont le mot de passe RODC est refusé - Refuser
  • Groupe de réplication dont le mot de passe RODC est autorisé - Autoriser

Les arguments Windows PowerShell ADDSDeployment équivalents sont les suivants :

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Capture d’écran de la boîte de dialogue Ajouter des groupes, des utilisateurs et des ordinateurs.

Délégation de l'installation et de l'administration du contrôleur de domaine en lecture seule (RODC)

Capture d’écran de la page Délégation de l’installation et de l’administration du contrôleur de domaine en lecture seule (RODC) de l’Assistant Installation Active Directory Domain Services.

La boîte de dialogue Délégation de l'installation et de l'administration du contrôleur de domaine en lecture seule (RODC) vous permet de configurer un utilisateur ou un groupe contenant des utilisateurs qui sont autorisés à associer le serveur au compte d'ordinateur de contrôleur de domaine en lecture seule. Sélectionnez Définir pour rechercher un utilisateur ou un groupe dans le domaine. L'utilisateur ou le groupe spécifié dans cette boîte de dialogue obtient des autorisations d'administrateur local sur le contrôleur de domaine en lecture seule. L’utilisateur spécifié ou les membres du groupe spécifié peuvent effectuer des opérations sur le contrôleur de domaine en lecture seule avec des privilèges équivalents au groupe Administrateurs de l’ordinateur. Ils ne sont pas* membres du groupe Admins du domaine ni du groupe Administrateurs intégré au domaine.

Utilisez cette option pour déléguer l'administration de filiale sans accorder à l'administrateur de filiale l'appartenance au groupe Admins du domaine. La délégation de l’administration du contrôleur de domaine en lecture seule n’est pas requise.

L'argument Windows PowerShell ADDSDeployment équivalent est le suivant :

-delegatedadministratoraccountname <string>

Résumé

Capture d’écran de la page Résumé de l’Assistant Installation Active Directory Domain Services.

La boîte de dialogue Résumé vous permet de confirmer vos paramètres. Il s'agit de la dernière possibilité d'arrêter l'installation avant que l'Assistant ne crée le compte intermédiaire. Sélectionnez Suivant quand vous êtes prêt à créer le compte d’ordinateur de contrôleur de domaine en lecture seule intermédiaire. Sélectionnez Exporter les paramètres pour enregistrer un fichier de réponses au format de fichier d’installation sans assistance du processus dcpromo obsolète.

Création

Capture d’écran de la page Progression de l’Assistant Installation Active Directory Domain Services.

L'Assistant Installation des services de domaine Active Directory crée le contrôleur de domaine en lecture seule intermédiaire dans Active Directory. Vous ne pouvez pas annuler cette opération après son démarrage.

Capture d’écran de la dernière page de l’Assistant Installation Active Directory Domain Services.

Utilisez l'applet de commande suivante pour créer un compte d'ordinateur de contrôleur de domaine en lecture seule intermédiaire à l'aide du module Windows PowerShell ADDSDeployment :

Add-addsreadonlydomaincontrolleraccount

Pour connaître les arguments requis et facultatifs, voir Créer un contrôleur de domaine en lecture seule intermédiaire dans Windows PowerShell.

Comme Add-addsreadonlydomaincontrolleraccount contient uniquement une action avec deux phases (vérification de la configuration requise et installation), les captures d’écran suivantes illustrent la phase d’installation avec les arguments requis minimaux.

Capture d’écran de la fenêtre PowerShell montrant la cmdlet Add-addsreadonlydomaincontrolleraccount.

Capture d’écran de la fenêtre PowerShell montrant les résultats de la cmdlet Add-addsreadonlydomaincontrolleraccount.

L'opération de création d'un contrôleur de domaine en lecture seule intermédiaire crée le compte d'ordinateur de contrôleur de domaine en lecture seule dans Active Directory. Le Centre d'administration Active Directory affiche le Type de contrôleur de domaine comme étant un Compte de contrôleur de domaine inoccupé. Ce type de contrôleur de domaine indique que le compte de contrôleur de domaine en lecture seule intermédiaire est prêt à être associé à un serveur comme contrôleur de domaine en lecture seule.

Capture d’écran du Centre d’administration Active Directory montrant un compte de contrôleur de domaine inoccupé mis en évidence.

Important

Le Centre d'administration Active Directory n'a plus à associer un serveur à un compte d'ordinateur de contrôleur de domaine en lecture seule. Utilisez le Gestionnaire de serveur et l'Assistant Configuration des services de domaine Active Directory ou l'applet de commande du module Windows PowerShell ADDSDeployment Install-AddsDomainController pour associer un nouveau contrôleur de domaine en lecture seule à son compte intermédiaire. Les étapes sont semblables à l'ajout d'un nouveau contrôleur de domaine accessible en écriture à un domaine existant, excepté que le compte d'ordinateur de contrôleur de domaine en lecture seule intermédiaire contient des options de configuration choisies au moment de la création du compte d'ordinateur de contrôleur de domaine en lecture seule intermédiaire.

attachement

Configuration du déploiement

Capture d’écran montrant la page Configuration du déploiement de l’Assistant Configuration Active Directory Domain Services.

Le Gestionnaire de serveur commence la promotion de chaque contrôleur de domaine par la page Configuration de déploiement. Dans cette page et les pages suivantes, les options disponibles et les champs requis varient selon l’opération de déploiement que vous sélectionnez.

Pour ajouter un contrôleur de domaine en lecture seule à un domaine existant, sélectionnez Ajouter un contrôleur de domaine à un domaine existant, puis le bouton Sélectionner associé à Spécifiez les informations de domaine pour cette opération. Le Gestionnaire de serveur vous invite automatiquement à entrer des informations d’identification valides, ou vous pouvez sélectionner Modifier.

L'association d'un contrôleur de domaine en lecture seule requiert l'appartenance au groupe Admins du domaine dans Windows Server 2012. L’Assistant Configuration Active Directory Domain Services vous avertit par la suite si vos informations d’identification actuelles ne comptent pas les autorisations ou les appartenances aux groupes appropriées.

L'applet de commande Windows PowerShell ADDSDeployment Configuration de déploiement et les arguments sont les suivants :

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Options de contrôleur de domaine :

Capture d’écran montrant la page Options du contrôleur de domaine de l’Assistant Configuration Active Directory Domain Services.

La page Options du contrôleur de domaine affiche les options du contrôleur de domaine pour le nouveau contrôleur de domaine. Quand cette page est chargée, l'Assistant Configuration des services de domaine Active Directory envoie une requête LDAP à un contrôleur de domaine existant pour rechercher les comptes inoccupés. Si la requête trouve un compte d’ordinateur de contrôleur de domaine inoccupé qui partage le même nom que l’ordinateur actuel, l’Assistant affiche un message d’information en haut de la page qui indique Un compte RODC précréé correspondant au nom du serveur cible existe dans l’annuaire. Choisissez d’utiliser le compte RODC existant ou de réinstaller ce contrôleur de domaine. L'Assistant utilise l'option Utiliser le compte RODC existant comme configuration par défaut.

Important

Vous pouvez utiliser l'option Réinstaller ce contrôleur de domaine quand un contrôleur de domaine a rencontré un problème physique et ne peut plus fonctionner. Vous gagnez du temps quand vous configurez le contrôleur de domaine de remplacement en laissant le compte d'ordinateur de contrôleur de domaine et les métadonnées d'objet dans Active Directory. Installez le nouvel ordinateur avec le même nom et promouvez-le comme contrôleur du domaine. L’option Réinstaller ce contrôleur de domaine n’est pas disponible si vous avez supprimé les métadonnées de l’objet contrôleur de domaine d’Active Directory (nettoyage des métadonnées).

Vous ne pouvez pas configurer des options de contrôleur de domaine quand vous associez un serveur à un compte d’ordinateur de contrôleur de domaine en lecture seule. Vous configurez des options de contrôleur de domaine quand vous créez le compte d'ordinateur de contrôleur de domaine en lecture seule intermédiaire.

Le Mot de passe du mode de restauration des services d'annuaire spécifié doit respecter la stratégie de mot de passe appliquée au serveur. Choisissez toujours un mot de passe fort complexe ou, de préférence, une phrase secrète.

Les arguments Windows PowerShell ADDSDeployment Options du contrôleur de domaine sont les suivants :

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Important

Le nom du site doit déjà exister s’il est fourni en tant qu’argument à -sitename. L'applet de commande install-AddsDomainController ne crée pas de nom de site. Vous pouvez utiliser l'applet de commande new-adreplicationsite pour créer des sites.

Les arguments Install-ADDSDomainController suivent les mêmes paramètres par défaut que le Gestionnaire de serveur s'ils ne sont pas spécifiés.

Le fonctionnement de l'argument SafeModeAdministratorPassword est spécial :

  • S'ils ne sont pas spécifiés en tant qu'arguments, l'applet de commande vous invite à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.

    Par exemple, pour créer un contrôleur de domaine en lecture seule dans le domaine corp.contoso.com et être invité à entrer et à confirmer un mot de passe masqué :

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
    
  • S'ils sont spécifiés avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.

Par exemple, vous pouvez manuellement inviter l'utilisateur à entrer un mot de passe sous forme d'une chaîne sécurisée à l'aide de l'applet de commande Read-Host.

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Avertissement

Étant donné que l’option précédente ne confirme pas le mot de passe, faites preuve de prudence, car le mot de passe n’est pas visible.

Vous pouvez également fournir une chaîne sécurisée sous forme d'une variable en texte clair convertie, bien que ceci soit fortement déconseillé.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Enfin, vous pouvez stocker le mot de passe obscurci dans un fichier, puis le réutiliser plus tard, sans que le mot de passe en texte clair ne s'affiche. Par exemple :

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Avertissement

Il n'est pas recommandé de fournir ni de stocker un mot de passe en texte clair ou obfusqué. Toute personne qui exécute cette commande dans un script ou qui regarde par-dessus votre épaule connaît le mot de passe DSRM de ce contrôleur de domaine. Toute personne ayant accès au fichier peut annuler ce mot de passe obfusqué. Munie de cette information, elle peut ouvrir une session sur un contrôleur de domaine en mode DSRM et finir par emprunter l'identité du contrôleur de domaine lui-même, en élevant ses privilèges au niveau le plus élevé d'une forêt Active Directory. Une autre procédure utilisant System.Security.Cryptography pour chiffrer les données du fichier texte est conseillée, mais n'est pas traitée ici. Le mieux est d'éviter totalement tout stockage de mot de passe.

Options supplémentaires

Capture d’écran montrant la page Options supplémentaires de l’Assistant Configuration Active Directory Domain Services.

La page Options supplémentaires offre des options de configuration permettant de nommer un contrôleur de domaine en tant que source de réplication ; vous pouvez aussi utiliser n'importe quel contrôleur de domaine comme source de réplication.

Vous pouvez également choisir d’installer le contrôleur de domaine à partir d’un support sauvegardé à l’aide de l’option Installation à partir du support (IFM). La case Installation à partir du support fournit une option de navigation quand elle est cochée et vous devez sélectionner Vérifier pour garantir que le chemin d’accès indiqué est un support valide.

Instructions pour la source IFM :

  • Le support utilisé par l’option IFM est créé avec la Sauvegarde Windows Server ou Ntdsutil.exe à partir d’un autre contrôleur de domaine Windows Server existant doté de la même version de système d’exploitation uniquement. Par exemple, vous ne pouvez pas utiliser Windows Server 2008 R2 ni un système d’exploitation antérieur pour créer des supports pour un contrôleur de domaine Windows Server 2012.
  • Les données sources IFM doivent provenir d’un contrôleur de domaine accessible en écriture. Bien qu’une source de RODC fonctionne techniquement pour créer un contrôleur de domaine en lecture seule, des avertissements de réplication qui sont des faux positifs indiquent que le contrôleur de domaine principal de la source IFM n’est pas répliqué.

Pour plus d'informations sur les modifications apportées à l'option Installation à partir du support, voir Modifications apportées à l'option Installation à partir du support avec Ntdsutil.exe. En cas d'utilisation du support protégé avec SYSKEY, le Gestionnaire de serveur vous invite à entrer le mot de passe de l'image pendant la vérification.

Capture d’écran de la fenêtre d’invite de commandes montrant les résultats de l’exécution de ntdsutil.

Les arguments de l'applet de commande ADDSDeployment Options supplémentaires sont les suivants :

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Chemins d'accès

Capture d’écran de la page Chemins d’accès de l’Assistant Configuration Active Directory Domain Services.

La page Chemins d’accès vous permet de remplacer les emplacements de dossier par défaut de la base de données AD DS, des journaux de transaction de base de données et du partage SYSVOL. Les emplacements par défaut sont toujours dans des sous-répertoires de %systemroot%. Les arguments de l'applet de commande ADDSDeployment Chemins d'accès sont les suivants :

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Examiner les options et Afficher le script

Capture d’écran de la page Examiner les options de l’Assistant Configuration Active Directory Domain Services.

La page Examiner les options vous permet de valider vos paramètres et de vérifier qu’ils répondent à vos exigences avant le démarrage de l’installation. Notez que vous avez encore la possibilité d’arrêter l’installation à l’aide du Gestionnaire de serveur. Cette page vous permet simplement d’examiner et de confirmer vos paramètres avant de poursuivre la configuration. La page Examiner les options du Gestionnaire de serveur offre également un bouton Afficher le script facultatif pour créer un fichier texte Unicode qui contient la configuration ADDSDeployment actuelle sous forme d’un script Windows PowerShell unique. Vous pouvez ainsi utiliser l’interface graphique Gestionnaire de serveur sous forme d’un studio de déploiement Windows PowerShell. Utilisez l’Assistant Configuration des services de domaine Active Directory pour configurer les options, exportez la configuration, puis annulez l’Assistant. Ce processus crée un exemple valide et correct du point de vue syntaxique pour permettre des modifications ultérieures ou une utilisation directe. Par exemple :

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DomainName corp.contoso.com `
-LogPath C:\Windows\NTDS `
-SYSVOLPath C:\Windows\SYSVOL `
-UseExistingAccount:$true `
-Norebootoncompletion:$false
-Force:$true

Notes

Le Gestionnaire de serveur renseigne généralement tous les arguments avec des valeurs pendant la promotion et ne s'appuie pas sur les valeurs par défaut (car elles peuvent changer entre les futures versions de Windows ou les Service Packs). La seule exception concerne l'argument -safemodeadministratorpassword. Pour forcer une demande de confirmation, omettez la valeur en cas d'exécution interactive de l'applet de commande.

Utilisez l'argument Whatif facultatif avec l'applet de commande Install-ADDSDomainController pour passer en revue les informations de configuration. Cela vous permet de voir les valeurs explicites et implicites des arguments d'une applet de commande.

Capture d’écran de la fenêtre PowerShell montrant les résultats de la cmdlet Install-ADDSDomainController.

Vérification de la configuration requise

Capture d’écran de la page Vérification des prérequis de l’Assistant Configuration Active Directory Domain Services.

La fonctionnalité Vérification de la configuration requise est nouvelle dans la configuration de domaine AD DS. Cette nouvelle phase valide que la configuration du serveur est capable de prendre en charge une nouvelle forêt AD DS.

Pendant l'installation d'un nouveau domaine racine de forêt, l'Assistant Configuration des services de domaine Active Directory du Gestionnaire de serveur appelle une série de tests modulaires sérialisés. Ces tests vous alertent avec des suggestions d'opérations de réparation. Vous pouvez exécuter les tests autant de fois que nécessaire. Le processus d’installation du contrôleur de domaine ne peut pas continuer tant que tous les tests de configuration requise ne sont pas réussis.

La fonctionnalité Vérification de la configuration requise met également en évidence des informations pertinentes, telles que les modifications de sécurité qui affectent les systèmes d'exploitation plus anciens. Pour plus d'informations sur les vérifications de la configuration requise, voir Vérification de la configuration requise.

Vous ne pouvez pas ignorer la fonctionnalité Vérification de la configuration requise quand vous utilisez le Gestionnaire de serveur, mais vous pouvez ignorer le processus quand vous utilisez l’applet de commande de déploiement des services AD DS avec l’argument suivant :

-skipprechecks

Avertissement

Microsoft déconseille d'ignorer la vérification de la configuration requise, car cela peut aboutir à une promotion partielle du contrôleur de domaine ou à l'endommagement de la forêt AD DS.

Sélectionnez Installer pour commencer le processus de promotion du contrôleur de domaine. Il s'agit de la dernière possibilité d'annuler l'installation. Vous ne pouvez pas annuler le processus de promotion une fois qu’il a commencé. L'ordinateur redémarre automatiquement à la fin de la promotion, quel qu'en soit le résultat.

Installation

Capture d’écran de la page Installation de l’Assistant Configuration Active Directory Domain Services.

Lorsque la page Installation s’affiche, la configuration du contrôleur de domaine commence et ne peut pas être arrêtée ni annulée. Les opérations détaillées s'affichent dans cette page et sont écrites dans les journaux :

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Pour installer une nouvelle forêt Active Directory à l'aide du module ADDSDeployment, utilisez l'applet de commande suivante :

Install-addsdomaincontroller

Pour connaître les arguments requis et facultatifs, voir Associer un contrôleur de domaine en lecture seule dans Windows PowerShell.

L'applet de commande Install-addsdomaincontroller comprend uniquement deux phases (vérification de la configuration requise et installation). Les deux figures ci-dessous illustrent la phase d'installation avec les arguments requis minimaux -domainname, -useexistingaccount et -credential. Notez comment, de la même façon que le Gestionnaire de serveur, Install-ADDSDomainController vous rappelle que la promotion redémarre automatiquement le serveur :

Capture d’écran de la fenêtre PowerShell montrant le résultat de la cmdlet Install-addsdomaincontroller.

Capture d’écran de la fenêtre PowerShell montrant la progression de la validation et de l’installation.

Pour accepter automatiquement l'invite de redémarrage, utilisez les arguments -force ou -confirm:$false avec n'importe quelle applet de commande Windows PowerShell ADDSDeployment. Pour empêcher le serveur de redémarrer automatiquement à la fin de la promotion, utilisez l'argument -norebootoncompletion.

Avertissement

Il n'est pas conseillé de remplacer le redémarrage. Le contrôleur de domaine doit redémarrer pour fonctionner correctement.

Résultats

Capture d’écran de la page Résultats de l’Assistant Configuration Active Directory Domain Services.

La page Résultats indique la réussite ou l'échec de la promotion et toute information d'administration importante. Le contrôleur de domaine redémarre automatiquement après 10 secondes.

Workflow de contrôleur de domaine en lecture seule sans création intermédiaire

Le diagramme suivant illustre le processus de configuration Active Directory Domain Services si vous avez auparavant installé le rôle AD DS et démarré l’Assistant Configuration Active Directory Domain Services à l’aide du Gestionnaire de serveur pour créer un contrôleur de domaine en lecture seule non intermédiaire dans un domaine Windows Server 2012 existant.

Diagramme montrant le processus de contrôleur de domaine en lecture seule Active Directory Domain Services décrit ci-dessus sans workflow intermédiaire.

Contrôleur de domaine en lecture seule sans création intermédiaire dans Windows PowerShell

Applet de commande ADDSDeployment Arguments (ceux en gras sont requis et ceux en italique peuvent être spécifiés à l’aide de Windows PowerShell ou de l’Assistant Configuration des services de domaine Active Directory.)
Install-AddsDomaincontroller -SkipPreChecks

-DomainName

-SafeModeAdministratorPassword

-SiteName

-ApplicationPartitionsToReplicate

-CreateDNSDelegation

-Credential

-CriticalReplicationOnly

-DatabasePath

-DNSDelegationCredential

-DNSOnNetwork

-InstallationMediaPath

-InstallDNS

-LogPath

-MoveInfrastructureOperationMasterRoleIfNecessary

-NoGlobalCatalog

-Norebootoncompletion

-ReplicationSourceDC

-SkipAutoConfigureDNS

-SystemKey

-SYSVOLPath

-AllowPasswordReplicationAccountName

-DelegatedAdministratorAccountName

-DenyPasswordReplicationAccountName

-ReadOnlyReplica

Notes

L'argument -credential est uniquement requis si vous n'êtes pas déjà connecté en tant que membre du groupe Admins du domaine.

Déploiement de contrôleur de domaine en lecture seule sans création intermédiaire

Configuration du déploiement

Capture d’écran de la page Configuration du déploiement de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

Le Gestionnaire de serveur commence la promotion de chaque contrôleur de domaine par la page Configuration de déploiement. Dans cette page et les pages suivantes, les options disponibles et les champs requis varient selon l’opération de déploiement que vous sélectionnez.

Pour ajouter un contrôleur de domaine en lecture seule non intermédiaire à un domaine Windows Server 2012 existant, sélectionnez Ajouter un contrôleur de domaine à un domaine existant, puis le bouton Sélectionner associé à Spécifiez les informations de domaine pour cette opération. Le Gestionnaire de serveur vous invite automatiquement à entrer des informations d’identification valides, ou vous pouvez sélectionner Modifier.

L'association d'un contrôleur de domaine en lecture seule requiert l'appartenance au groupe Admins du domaine dans Windows Server 2012. L’Assistant Configuration Active Directory Domain Services vous avertit par la suite si vos informations d’identification actuelles ne comptent pas les autorisations ou les appartenances aux groupes appropriées.

L'applet de commande Windows PowerShell ADDSDeployment Configuration de déploiement et les arguments sont les suivants :

Install-AddsDomainController
-domainname <string>
-credential <pscredential>

Options de contrôleur de domaine :

Capture d’écran de la page Options du contrôleur de domaine de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La page Options du contrôleur de domaine spécifie les fonctions du contrôleur de domaine pour le nouveau contrôleur de domaine. Les fonctions du contrôleur de domaine configurables sont Serveur DNS, Catalogue global et Contrôleur de domaine en lecture seule. Microsoft recommande que tous les contrôleurs de domaine fournissent des services DNS et de catalogue global à des fins de haute disponibilité dans les environnements distribués. Le catalogue global est toujours sélectionné par défaut et le serveur DNS est sélectionné par défaut si le domaine actuel héberge déjà DNS sur ses contrôleurs de domaine, selon une requête SOA (Start-of-Authority).

La page Options du contrôleur de domaine vous permet également de choisir le nom de site logique Active Directory approprié à partir de la configuration de la forêt. Par défaut, le sous-réseau le mieux adapté est sélectionné. S’il n’y a qu’un site, celui-ci est automatiquement sélectionné.

Important

Si le serveur n'appartient pas à un sous-réseau Active Directory et qu'il existe plusieurs sites Active Directory, rien n'est sélectionné et le bouton Suivant n'apparaît que quand vous avez choisi un site dans la liste.

Le Mot de passe du mode de restauration des services d'annuaire spécifié doit respecter la stratégie de mot de passe appliquée au serveur. Choisissez toujours un mot de passe fort complexe ou, de préférence, une phrase secrète. Les arguments Windows PowerShell ADDSDeployment Options du contrôleur de domaine sont les suivants :

-UseExistingAccount <{$true | $false}>
-SafeModeAdministratorPassword <secure string>

Important

Le nom du site doit déjà exister s’il est fourni en tant qu’argument à -sitename. L'applet de commande install-AddsDomainController ne crée pas de nom de site. Vous pouvez utiliser l'applet de commande new-adreplicationsite pour créer des sites.

Les arguments Install-ADDSDomainController suivent les mêmes paramètres par défaut que le Gestionnaire de serveur s'ils ne sont pas spécifiés.

Le fonctionnement de l'argument SafeModeAdministratorPassword est spécial :

  • S'ils ne sont pas spécifiés en tant qu'arguments, l'applet de commande vous invite à entrer et à confirmer un mot de passe masqué. Il s’agit du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.

    Par exemple, pour créer un contrôleur de domaine en lecture seule dans le domaine corp.contoso.com et être invité à entrer et à confirmer un mot de passe masqué :

    Install-ADDSDomainController -DomainName corp.contoso.com -credential (get-credential)
    
  • S'ils sont spécifiés avec une valeur, la valeur doit être une chaîne sécurisée. Il ne s’agit pas du mode d’utilisation préféré en cas d’exécution interactive de l’applet de commande.

Par exemple, vous pouvez manuellement inviter l'utilisateur à entrer un mot de passe sous forme d'une chaîne sécurisée à l'aide de l'applet de commande Read-Host.

-safemodeadministratorpassword (read-host -prompt Password: -assecurestring)

Avertissement

Étant donné que l’option précédente ne confirme pas le mot de passe, faites preuve de prudence, car le mot de passe n’est pas visible.

Vous pouvez également fournir une chaîne sécurisée sous forme d'une variable en texte clair convertie, bien que ceci soit fortement déconseillé.

-safemodeadministratorpassword (convertto-securestring Password1 -asplaintext -force)

Enfin, vous pouvez stocker le mot de passe obscurci dans un fichier, puis le réutiliser plus tard, sans que le mot de passe en texte clair ne s'affiche. Par exemple :

$file = c:\pw.txt
$pw = read-host -prompt Password: -assecurestring
$pw | ConvertFrom-SecureString | Set-Content $file

-safemodeadministratorpassword (Get-Content $File | ConvertTo-SecureString)

Avertissement

Il n'est pas recommandé de fournir ni de stocker un mot de passe en texte clair ou obfusqué. Toute personne qui exécute cette commande dans un script ou qui regarde par-dessus votre épaule connaît le mot de passe DSRM de ce contrôleur de domaine. Toute personne ayant accès au fichier peut annuler ce mot de passe obfusqué. Munie de cette information, elle peut ouvrir une session sur un contrôleur de domaine en mode DSRM et finir par emprunter l'identité du contrôleur de domaine lui-même, en élevant ses privilèges au niveau le plus élevé d'une forêt Active Directory. Une autre procédure utilisant System.Security.Cryptography pour chiffrer les données du fichier texte est conseillée, mais n'est pas traitée ici. Le mieux est d'éviter totalement tout stockage de mot de passe.

Options du contrôleur de domaine en lecture seule

Capture d’écran de la page Options du contrôleur de domaine en lecture seule de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La page Options RODC vous permet de modifier les paramètres :

  • Compte d'administrateur délégué

  • Comptes autorisés à répliquer les mots de passe pour RODC

  • Comptes non autorisés à répliquer les mots de passe pour RODC

Les comptes d’administrateurs délégués se voient octroyer des autorisations administratives locales au contrôleur de domaine en lecture seule. Ces utilisateurs bénéficient de privilèges équivalents à ceux du groupe Administrateurs de l’ordinateur local. Ils ne sont membres ni du groupe Admins du domaine ni du groupe Administrateurs intégré au domaine. Cette option est utile pour déléguer l’administration de filiales sans octroyer d’autorisations administratives au domaine. La configuration de la délégation de l’administration n’est pas requise.

L'argument Windows PowerShell ADDSDeployment équivalent est le suivant :

-delegatedadministratoraccountname <string>

Les comptes qui ne sont pas autorisés à mettre en cache leurs mots de passe sur le contrôleur de domaine en lecture seule et qui ne peuvent pas se connecter à un contrôleur de domaine accessible en écriture ni s’authentifier auprès de celui-ci ne sont pas en mesure d’accéder aux fonctions ou aux ressources fournies par Active Directory.

Important

En l'absence de modification, les paramètres et groupes par défaut sont utilisés :

  • Administrateurs - Refuser
  • Opérateurs de serveur - Refuser
  • Opérateurs de sauvegarde - Refuser
  • Opérateurs de compte - Refuser
  • Groupe de réplication dont le mot de passe RODC est refusé - Refuser
  • Groupe de réplication dont le mot de passe RODC est autorisé - Autoriser

Les arguments Windows PowerShell ADDSDeployment équivalents sont les suivants :

-allowpasswordreplicationaccountname <string []>
-denypasswordreplicationaccountname <string []>

Capture d’écran de la boîte de dialogue Sélectionner un utilisateur, un ordinateur, un compte de service.

Options supplémentaires

Capture d’écran de la page Options supplémentaires de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La page Options supplémentaires offre des options de configuration permettant de nommer un contrôleur de domaine en tant que source de réplication ; vous pouvez aussi utiliser n'importe quel contrôleur de domaine comme source de réplication.

Vous pouvez également choisir d’installer le contrôleur de domaine à partir d’un support sauvegardé à l’aide de l’option Installation à partir du support (IFM). La case Installation à partir du support fournit une option de navigation quand elle est cochée et vous devez sélectionner Vérifier pour garantir que le chemin d’accès indiqué est un support valide.

Instructions pour la source IFM :

  • Le support utilisé par l’option IFM est créé avec la Sauvegarde Windows Server ou Ntdsutil.exe à partir d’un autre contrôleur de domaine Windows Server existant doté de la même version de système d’exploitation uniquement. Par exemple, vous ne pouvez pas utiliser Windows Server 2008 R2 ni un système d’exploitation antérieur pour créer des supports pour un contrôleur de domaine Windows Server 2012.
  • Les données sources IFM doivent provenir d’un contrôleur de domaine accessible en écriture. Bien qu’une source de RODC fonctionne techniquement pour créer un contrôleur de domaine en lecture seule, des avertissements de réplication qui sont des faux positifs indiquent que le contrôleur de domaine principal de la source IFM n’est pas répliqué.

Pour plus d'informations sur les modifications apportées à l'option Installation à partir du support, voir Modifications apportées à l'option Installation à partir du support avec Ntdsutil.exe. En cas d'utilisation du support protégé avec SYSKEY, le Gestionnaire de serveur vous invite à entrer le mot de passe de l'image pendant la vérification.

Capture d’écran de la fenêtre d’invite de commandes montrant les résultats de l’exécution de ntdsutil sans déploiement intermédiaire.

Les arguments de l’applet de commande ADDSDeployment Options supplémentaires sont les suivants :

-replicationsourcedc <string>
-installationmediapath <string>
-systemkey <secure string>

Chemins d'accès

Capture d’écran de la page Chemins d’accès de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La page Chemins d’accès vous permet de remplacer les emplacements de dossier par défaut de la base de données AD DS, des journaux de transaction de base de données et du partage SYSVOL. Les emplacements par défaut sont toujours dans des sous-répertoires de %systemroot%. Les arguments de l'applet de commande ADDSDeployment Chemins d'accès sont les suivants :

-databasepath <string>
-logpath <string>
-sysvolpath <string>

Options de préparation

Capture d’écran de la page Options de préparation de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La page Options de préparation vous informe que la configuration des services de domaine Active Directory comprend l'extension du schéma (forestprep) et la mise à jour du domaine (domainprep). Cette page ne s’affiche que si la forêt ou le domaine n’ont pas été préparés par une précédente installation de contrôleur de domaine Windows Server 2012 ni par une exécution manuelle d’Adprep.exe. Par exemple, l'Assistant Configuration des services de domaine Active Directory supprime cette page si vous ajoutez un nouveau contrôleur de domaine répliqué à un domaine racine de forêt Windows Server 2012 existant.

L’extension du schéma et la mise à jour du domaine ne se produisent pas quand vous sélectionnez Suivant. Ces événements se produisent uniquement pendant la phase d'installation. Cette page vous informe simplement des événements qui vont se produire plus tard pendant l'installation.

Cette page valide également que les informations d'identification de l'utilisateur actuel sont membres des groupes Administrateurs de l'entreprise et Administrateurs du schéma, car l'appartenance à ces groupes est nécessaire pour étendre le schéma ou préparer un domaine. Sélectionnez Modifier pour fournir des informations d’identification d’utilisateur appropriées si la page vous indique que les informations d’identification actuelles n’offrent pas des autorisations suffisantes.

L’argument supplémentaire de l’applet de commande ADDSDeployment est :

-adprepcredential <pscredential>

Important

Comme avec les versions précédentes de Windows Server, la préparation du domaine automatisée de Windows Server 2012 n'exécute pas GPPREP. Exécutez adprep.exe /gpprep manuellement pour tous les domaines qui n'étaient pas auparavant préparés pour Windows Server 2003, Windows Server 2008 ni Windows Server 2008 R2. Vous ne devez exécuter GPPrep qu'une seule fois dans l'historique d'un domaine et non avec chaque mise à niveau. Adprep.exe n'exécute pas /gpprep automatiquement, car l'opération peut provoquer une nouvelle réplication de tous les fichiers et dossiers dans le dossier SYSVOL sur tous les contrôleurs de domaine.

La commande RODCPrep automatique est exécutée quand vous promouvez le premier contrôleur de domaine en lecture seule non intermédiaire dans un domaine. Elle n'est pas exécutée quand vous promouvez le premier contrôleur de domaine Windows Server 2012 accessible en écriture. Vous pouvez aussi exécuter manuellement adprep.exe /rodcprep si vous envisagez de déployer des contrôleurs de domaine en lecture seule.

Examiner les options et Afficher le script

Capture d’écran de la page Examiner les options de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La page Examiner les options vous permet de valider vos paramètres et de vérifier qu’ils répondent à vos exigences avant le démarrage de l’installation. Notez que vous avez encore la possibilité d’arrêter l’installation à l’aide du Gestionnaire de serveur. Cette page vous permet simplement d’examiner et de confirmer vos paramètres avant de poursuivre la configuration.

La page Examiner les options du Gestionnaire de serveur offre également un bouton Afficher le script facultatif pour créer un fichier texte Unicode qui contient la configuration ADDSDeployment actuelle sous forme d’un script Windows PowerShell unique. Vous pouvez ainsi utiliser l’interface graphique Gestionnaire de serveur sous forme d’un studio de déploiement Windows PowerShell. Utilisez l’Assistant Configuration des services de domaine Active Directory pour configurer les options, exportez la configuration, puis annulez l’Assistant. Ce processus crée un exemple valide et correct du point de vue syntaxique pour permettre des modifications ultérieures ou une utilisation directe. Par exemple :

#
# Windows PowerShell Script for AD DS Deployment
#

Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @(CORP\Allowed RODC Password Replication Group, CORP\Chicago RODC Admins, CORP\Chicago RODC Users and Computers) `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath C:\Windows\NTDS `
-DelegatedAdministratorAccountName CORP\Chicago RODC Admins `
-DenyPasswordReplicationAccountName @(BUILTIN\Administrators, BUILTIN\Server Operators, BUILTIN\Backup Operators, BUILTIN\Account Operators, CORP\Denied RODC Password Replication Group) `
-DomainName corp.contoso.com `
-InstallDNS:$true `
-LogPath C:\Windows\NTDS `
-ReadOnlyReplica:$true `
-SiteName Default-First-Site-Name `
-SYSVOLPath C:\Windows\SYSVOL
-Force:$true

Notes

Le Gestionnaire de serveur renseigne généralement tous les arguments avec des valeurs pendant la promotion et ne s'appuie pas sur les valeurs par défaut (car elles peuvent changer entre les futures versions de Windows ou les Service Packs). La seule exception concerne l'argument -safemodeadministratorpassword. Pour forcer une demande de confirmation, omettez la valeur en cas d'exécution interactive de l'applet de commande.

Utilisez l’argument Whatif facultatif avec l’applet de commande Install-ADDSDomainController pour passer en revue les informations de configuration. Cela vous permet de voir les valeurs explicites et implicites des arguments d'une applet de commande.

Capture d’écran de la fenêtre PowerShell montrant les résultats de la cmdlet Install-ADDSDomainController sans déploiement intermédiaire.

Vérification de la configuration requise

Capture d’écran de la page Vérification des prérequis de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La fonctionnalité Vérification de la configuration requise est nouvelle dans la configuration de domaine AD DS. Cette nouvelle phase valide que la configuration du serveur est capable de prendre en charge une nouvelle forêt AD DS.

Pendant l'installation d'un nouveau domaine racine de forêt, l'Assistant Configuration des services de domaine Active Directory du Gestionnaire de serveur appelle une série de tests modulaires sérialisés. Ces tests vous alertent avec des suggestions d'opérations de réparation. Vous pouvez exécuter les tests autant de fois que nécessaire. Le processus du contrôleur de domaine ne peut pas continuer tant que tous les tests de configuration requise ne sont pas réussis.

La fonctionnalité Vérification de la configuration requise met également en évidence des informations pertinentes, telles que les modifications de sécurité qui affectent les systèmes d'exploitation plus anciens.

Vous ne pouvez pas ignorer la fonctionnalité Vérification de la configuration requise quand vous utilisez le Gestionnaire de serveur, mais vous pouvez ignorer le processus quand vous utilisez l’applet de commande de déploiement des services AD DS avec l’argument suivant :

-skipprechecks

Sélectionnez Installer pour commencer le processus de promotion du contrôleur de domaine. Il s'agit de la dernière possibilité d'annuler l'installation. Vous ne pouvez pas annuler le processus de promotion une fois qu’il a commencé. L'ordinateur redémarre automatiquement à la fin de la promotion, quel qu'en soit le résultat.

Installation

Capture d’écran de la page Installation de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

Lorsque la page Installation s’affiche, la configuration du contrôleur de domaine commence et ne peut pas être arrêtée ni annulée. Les opérations détaillées s'affichent dans cette page et sont écrites dans les journaux :

  • %systemroot%\debug\dcpromo.log

  • %systemroot%\debug\dcpromoui.log

Pour installer une nouvelle forêt Active Directory à l'aide du module ADDSDeployment, utilisez l'applet de commande suivante :

Install-addsdomaincontroller

Pour connaître les arguments obligatoires et facultatifs, voir le tableau Cmdlet ADDSDeployment au début de cette section.

L'applet de commande Install-addsdomaincontroller comprend uniquement deux phases (vérification de la configuration requise et installation). Les deux figures ci-dessous illustrent la phase d'installation avec les arguments requis minimaux -domainname, -readonlyreplica, -sitename et -credential. Notez comment, de la même façon que le Gestionnaire de serveur, Install-ADDSDomainController vous rappelle que la promotion redémarre automatiquement le serveur :

Capture d’écran de la fenêtre PowerShell montrant le résultat de la cmdlet Install-addsdomaincontroller sans déploiement intermédiaire.

Capture d’écran de la fenêtre PowerShell montrant la progression de la validation et de l’installation sans déploiement intermédiaire.

Pour accepter automatiquement l'invite de redémarrage, utilisez les arguments -force ou -confirm:$false avec n'importe quelle applet de commande Windows PowerShell ADDSDeployment. Pour empêcher le serveur de redémarrer automatiquement à la fin de la promotion, utilisez l'argument -norebootoncompletion.

Avertissement

Il n'est pas recommandé de remplacer le redémarrage. Le contrôleur de domaine doit redémarrer pour fonctionner correctement. Si vous fermez la session du contrôleur de domaine, vous ne pouvez pas la rouvrir de façon interactive tant que vous ne l'avez pas redémarré.

Résultats

Capture d’écran de la page Résultats de l’Assistant Configuration Active Directory Domain Services sans déploiement intermédiaire.

La page Résultats indique la réussite ou l'échec de la promotion et toute information d'administration importante. Le contrôleur de domaine redémarre automatiquement après 10 secondes.